- Published on
18 Monate bis zum AI Act Enforcement: Was jetzt zählt
- Authors
- Name
- Tails Azimuth
Am 02.12.2027 endet die Vorbereitungsphase für den EU AI Act in der vom Digital Omnibus gesetzten Form. Bis dahin sind es ab heute, dem 02.06.2026, genau 18 Monate. Diese 18 Monate sind keine technische Übergangsfrist, sondern ein klar definierter Zeitraum, in dem Unternehmen aus DE, EU27-Rest, UK und CH ihre KI-Governance von ad-hoc-Dokumentation auf eine prüffähige Trust-Infrastruktur umstellen müssen. Wer bis dahin keinen belastbaren Evidenz-Stack aufgesetzt hat, betreibt Hochrisiko-KI im operativen Alltag ohne den Nachweis, der bei Audits, Versicherungen und Großkundenprüfungen verlangt wird.
Was sich am 02.12.2027 ändert
Die Verordnung (EU) 2024/1689 — der EU AI Act — ist in Kraft. Was sich am 02.12.2027 ändert, ist die Anwendbarkeit der Kernpflichten für Hochrisiko-KI in der Tiefe, die der Digital Omnibus zuletzt klargestellt hat: Risk-Management-Pflichten nach Art. 9, Datenqualitätsanforderungen nach Art. 10, technische Dokumentation nach Art. 11, Protokollierung nach Art. 12, Transparenzpflichten nach Art. 13, menschliche Aufsicht nach Art. 14, Genauigkeit, Robustheit und Cybersicherheit nach Art. 15. Hinzu kommen die Anbieterpflichten (Art. 16 ff.) und die Pflichten der Betreiber (Art. 26).
In der Praxis heißt das: Ab diesem Datum muss eine Organisation, die ein Hochrisiko-KI-System einsetzt oder anbietet, nicht behaupten können, dass diese Anforderungen erfüllt sind — sie muss es durch Artefakte zeigen. Das ist der Punkt, an dem Compliance-Software, die nur Häkchen setzt, ihre Grenze erreicht. Verlangt wird Evidenz: versionierte Risk-Register, dokumentierte Datenherkunft, manipulationssichere Audit-Trails, nachvollziehbare Human-Oversight-Protokolle.
Was die 18 Monate konkret tragen müssen
Die Aufgabe in den verbleibenden 18 Monaten lässt sich in vier Schichten zerlegen, die aufeinander aufbauen und nicht parallel funktionieren.
Die erste Schicht ist das KI-Inventar. Eine Organisation, die nicht weiß, welche KI-Systeme sie betreibt, in welcher Rolle (Anbieter, Betreiber, Importeur, Distributor) sie auftritt und welche Risikoklasse jedes System hat, kann keine Pflicht erfüllen. Dieser Schritt klingt trivial, ist aber in mittelständischen Strukturen mit verteilten Fachbereichen, Schatten-IT und externen SaaS-Lösungen erheblich. Ein realistisches Zeitfenster für ein sauberes Erst-Inventar liegt bei drei bis sechs Monaten.
Die zweite Schicht ist die Risikoklassifikation. Jedes inventarisierte System muss nach den Kriterien von Art. 6 und Anhang III geprüft werden. Was als Hochrisiko gilt, ergibt sich aus der Funktion und dem Einsatzkontext — nicht aus der technologischen Komplexität. Ein einfaches Scoring-Modell für die Personalauswahl ist Hochrisiko; ein komplexes Empfehlungssystem für Produktvorschläge in einem Webshop in der Regel nicht. Diese Einordnung verlangt juristische Präzision und sollte dokumentiert werden, weil sie im Audit nachgehalten wird.
Die dritte Schicht ist das AI Management System nach ISO/IEC 42001. Diese Norm bildet den Rahmen, in dem die einzelnen Kontrollen aus Art. 9 bis 15 organisatorisch verankert werden. Wer parallel ein Reifegradmodell wie AIMS (ISO 42001 × CMMI v3) verfolgt, schafft die Voraussetzung, im Audit nicht nur die Existenz, sondern auch die Tiefe der Kontrollen nachzuweisen. 18 Monate sind ausreichend, um von Reifegrad 1 auf Reifegrad 3 zu kommen — vorausgesetzt, das Programm startet jetzt.
Die vierte Schicht ist die Evidenz-Infrastruktur. Sie ist das, was beim Auditor übrig bleibt, wenn alle PowerPoint-Folien weggeräumt sind: ein System, das Artefakte erzeugt, versioniert, signiert und ausspielen kann. Risk-Register-Einträge mit Zeitstempel und Verantwortlichen. Impact Assessments mit Änderungsverlauf. Model Cards mit Trainingsdaten-Provenance. Incident-Logs mit Reaktionszeiten. Diese Infrastruktur lässt sich nicht in vier Wochen nachrüsten, weil sie organisatorische Disziplin verlangt — nicht nur Software.
Rechtsräume: gleiche Frist, verschiedene Konsequenzen
Die Anwendbarkeit am 02.12.2027 betrifft den gesamten EU-Binnenmarkt. Deutschland und der EU27-Rest unterliegen direkt der Verordnung. Für die Schweiz gilt: Wer in die EU liefert oder dort KI-Systeme bereitstellt, fällt unter die Anbieterpflichten — auch ohne EU-Niederlassung. Für das Vereinigte Königreich gilt dasselbe mit dem zusätzlichen Layer, dass der eigene UK-AI-Regulierungsrahmen sich erst entwickelt; viele UK-Unternehmen orientieren sich faktisch am EU AI Act, weil er der höhere Standard ist und Doppelarbeit vermeidet.
Unternehmen, die US-amerikanische KI-Komponenten oder Modelle in ihren Stack integrieren, müssen die Vendor-Schicht prüfen. Der EU AI Act adressiert hier den Anbieter — das ist im Regelfall die EU-niedergelassene Organisation, die das System in Verkehr bringt. Die Lieferantenkontrolle nach ISO 42001 (Control A.10) wird dadurch zum kritischen Pfad: Wer einen Vendor ohne dokumentierte AI-Governance einsetzt, übernimmt dessen Lücken implizit.
Was in 18 Monaten realistisch ist — und was nicht
Realistisch ist: ein vollständiges Inventar, eine saubere Risikoklassifikation, ein dokumentiertes AIMS auf CMMI-Reifegrad 2 bis 3, eine funktionierende Evidenz-Infrastruktur für die wichtigsten Hochrisiko-Systeme, ein erstes externes Audit-Readiness-Assessment.
Nicht realistisch ist: ein flächendeckender Reifegrad 4 oder 5 in einer Organisation, die heute noch kein AIMS hat. Auch nicht realistisch ist, die Anforderungen auf einer reinen Tooling-Ebene zu lösen — ohne klare Rollen, Verantwortlichkeiten und Prozessdefinition bleibt jedes System Stückwerk.
Die Logik der nächsten 90 Tage
Die ersten 90 Tage entscheiden über die nächsten 18 Monate. Wer in diesem Zeitraum das Inventar abschließt, die Rollen klärt und das AIMS-Programm aufsetzt, hat noch genug Zeit für drei Iterationsschleifen vor dem Stichtag. Wer in dieser Phase zögert, kommt in einen Modus, in dem die Pflicht den Plan diktiert — und das ist erfahrungsgemäß der teuerste Modus.
Trust-Infrastructure ist kein Add-on, das nachträglich aufgesetzt wird. Sie ist die Basis, auf der Compliance als Folge entsteht. Die 18 Monate bis zum 02.12.2027 sind die Zeit, in der diese Basis gelegt wird — oder eben nicht.
Quelle: Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates über künstliche Intelligenz (EU AI Act), Art. 6, 9–15, 16 ff., 26, 113.